Tempo di lettura stimato: 5 minuti
HTTPS, il lucchettino nella barra degli indirizzi, connessione criptata al sito web – è conosciuto in tutto il mondo in molti modi diversi. Nonostante fino a poco tempo fa fosse utilizzato esclusivamente per proteggere password e altri dati sensibili, piano piano tutto il web sta abbandonando l’HTTP e migrando verso l’HTTPS.
La “S” in HTTPS sta per “secure”. È la versione più sicura dello standard “hypertext transfer protocol” che utilizza il tuo browser (Chrome, Safari, Firefox, Internet Explorer, ecc.) quando comunica con un sito web.
Scopri se il tuo sito è già HTTPS
Perché sono a rischio se utilizzo ancora HTTP?
Questo potrebbe portarti diversi problemi. Uno in particolare potrebbe essere quello di sapere se realmente si sia connessi al sito web corretto: ti potresti trovare nella situazione in cui un malintenzionato, all’interno di una rete compromessa, stia reindirizzando il traffico verso un altro sito web che all’apparenza sembra essere identico a quello che stavi cercando, o ancora peggio se stavi cercando di accedere al sito della tua banca. Password e numeri di carte di credito non dovrebbero essere mai inseriti su un sito web con una semplice connessione HTTP perché potrebbero essere facilmente rubati.
Questi problemi si presentano perché le connessioni HTTP non sono criptate, al contrario di quelle HTTPS.
Come mi protegge la crittografia HTTPS?
HTTPS è molto più sicuro del classico HTTP. Quando ti connetti ad un server sicuro HTTPS – i siti sicuri della tua banca ti dovrebbero reindirizzare automaticamente al sito in HTTPS – il tuo browser controlla il certificato di sicurezza del sito web e verifica che sia stato emesso da un’autorità legittima certificata. Questo ti assicura che tu sia connesso al sito reale della tua banca, se ad esempio vedi “https://sitodellatuabanca.com” nella barra degli indirizzi del tuo browser. L’ente che ha rilasciato il certificato di sicurezza fa da garante per loro. Purtroppo però, anche alcune autorità a volte possono riscontrare dei problemi e il sistema rischia di essere comunque compromesso. Nonostante non sia del tutto perfetto, comunque, i siti web che utilizzano HTTPS sono di gran lunga più sicuri di quelli in http.
Quando invii invece dati sensibili tramite una connessione HTTPS, i malintenzionati non saranno più in grado di intercettarli e leggerli. L’HTTPS è ciò che rende sicuro il tuo online banking o e-commerce.
Perché tutti vogliono abbandonare l’HTTP?
L’HTTPS nasce con l’esigenza di criptare i dati sensibili come password e metodi di pagamento: il web adesso si sta muovendo in questa direzione.
In alcuni paesi gli ISP hanno la possibilità di controllare la cronologia web e di ricerca e venderla agli inserzionisti pubblicitari. Se tutto il web migrasse verso l’HTTPS, il tuo ISP non sarebbe più in grado di trasmettere queste informazioni personali; potrebbero solamente vedere che ti stai connettendo ad uno specifico sito web, anzichè vedere quale pagina tu stia guardando in quel momento.
Dopo quello che è successo nel 2013 con Edward Snowden (https://it.wikipedia.org/wiki/Edward_Snowden), ex agente della CIA e della NSA, che ha pubblicato documenti segreti del governo americano, tutti sono venuti a conoscenza del fatto che il governo statunitense stesse monitorando le pagine web visitate da tutti gli utenti nel mondo. Questo ha spinto molte aziende informatiche ad incrementare i profili di sicurezza per il criptaggio e la tutela della privacy. Migrando verso il protocollo HTTPS, i governi in tutto il mondo avranno più difficoltà a spiare le tue abitudini di navigazione su internet.
Come incoraggiano i browser il passaggio all’HTTPS?
A causa di questa necessità di passare al protocollo HTTPS, tutti i nuovi standard progettati di recente per rendere il web più veloce richiedono il criptaggio in HTTPS. HTTP/2 è la nuova grande innovazione del protocollo HTTP, supportata dai browser più conosciuti. Tutti i browser che vogliono sfruttare le funzionalità introdotte dall’HTTP/2 hanno come requisito che il sito sia criptato in HTTPS. Inoltre i dispositivi moderni hanno dei componenti dedicati per gestire il criptaggio dell’HTTP; questo significa che l’HTTPS sarà veramente più veloce e performante del normale HTTP.
Mentre i browser stanno rendendo più attraente l’HTTPS aggiungendone funzionalità, Google sta cominciando a penalizzare nel suo motore di ricerca i siti web che utilizzano ancora HTTP, e quindi ad abbassare il loro posizionamento, influenzando negativamente la SEO. Google ha pianificato di segnalare come non sicuri su Chrome tutti i siti web che non utilizzano HTTPS, dando priorità nei risultati di ricerca a quelli che lo utilizzano. Questo è un ulteriore incentivo a migrare verso questa tecnologia.
Come posso verificare se sono connesso ad un sito che utilizza HTTPS?
Puoi controllare se sei connesso ad un sito web con una connessione HTTPS guardando se l’indirizzo nella barra del tuo browser inizia con “https://”. Potrai notare inoltre l’icona di un lucchetto sulla quale poter cliccare per visualizzare tutte le informazioni relative alla sicurezza del sito web.
In tutti i browser viene visualizzato in maniera differente, ma la maggior parte ha in comune “https://” ed il lucchetto. Alcuni browser adesso nascondono l’ “https://” di default, e mostrano solo l’icona del lucchetto a fianco al nome del sito web. Ad ogni modo, se clicchi sulla barra degli indirizzi, vedrai comparire poi la parte dell’indirizzo con “https://”.
Se stai usando una rete Wi-Fi pubblica o non conosciuta e vuoi collegarti al sito della tua banca, assicurati che sia presente il protocollo HTTPS. Se non vedi gli indicatori che abbiamo detto prima nella pagina di login, è probabile che ti sia connesso ad un sito falso in una rete poco sicura.
Attenzione al Phishing!
La presenza di HTTPS non garantisce la legittimità del sito internet. Alcuni malintenzionati hanno analizzato le abitudini degli utenti nel controllare la presenza dell’indicatore HTTPS e l’icona del lucchetto, e cercano ancora di più di mascherare i loro siti web. Quindi dovreste stare comunque attenti: non cliccate i link nelle email sospette o rischierete di ritrovarvi in false pagina intelligentemente “mascherate”. È probabile quindi che si possano trovare indirizzi internet come “https://google.it.6846468468461.com”. In questo caso, stanno utilizzando una connessione sicura HTTPS, ma sei connesso ad un sottodominio di 6846468468461.com, e non di Google.
Altri malintenzionati potrebbero trovare il modo di imitare l’icona con il lucchetto, cambiando la favicon del sito che appare su alcuni browser a fianco alla barra degli indirizzi, in modo da ingannarti. Quindi state attenti anche a questi escamotage quando controllate che un sito web sia sicuro!